close
| 徹底解析虛擬平臺網路配置的關鍵技術:虛擬交換器 | ||||
| ||||
| 隨著伺服器的虛擬化,機房內部的網路設備也一併精簡,整合到虛擬平臺運作。對於企業來說,這樣的虛擬化提供了速度更快的連線介面,僅需花費較少的預算,即可完成線路的升級。 | ||||
| 伺服器的虛擬化,接連帶動了機房網路的虛擬化,原本在機房內部隨處可見的交換器等網路設備,隨著實體伺服器的精簡,也一併被整合到虛擬平臺,透過軟體模擬的方式,形成虛擬交換器(Virtual Switch,vSwitch)等元件,繼續為虛擬機器提供網路服務。 其實,不單是我們這裡所介紹的幾款企業端虛擬化平臺,就連規模較小的桌上型產品,也同樣能看到虛擬交換器技術的運用。以VMware Workstation為例,在5.0的版本推出之後,利用新加入的「Team」功能,讓數臺虛擬機器可以套用相同的設定(Lan Segment)連接網路,就功能上來看,儼然已經具備了虛擬交換器的雛型。 能提供大量的虛擬網路埠,及提供速度更快的連線介面 虛擬交換器是構成虛擬平臺網路的關鍵角色,相較於實體的交換器設備(Physical Switch,pSwitch),虛擬交換器所具備的網路功能較為簡單,一般來說,以L2層級的應用為主。整體而言,內建大量的虛擬網路埠,以及提供速度更快的連線介面,是交換器虛擬化之後所帶來的最大好處。 就網路埠的數量來說,一臺實體交換器內建的網路埠數量約在5~48埠之間,如果機房內部需要連接網路的設備超過這個數字,就有必要擴充設備,而在虛擬平臺的環境下,光是一臺虛擬交換器便能提供為數可觀的虛擬網路埠,以VMware的ESX為例,一臺ESX伺服器最多可以透過軟體模擬的方式,建立出248臺虛擬交換器,每臺交換器預設的虛擬網路埠數量是56個,可透過手動修改交換器設定的方式,擴充到1,016埠的最大上限。 不僅如此,伺服器虛擬化之後,網路的傳輸速度也能獲得增加。雖然10GbE網路推出已有數年之久的時間,速度更快的100GbE網路也呼之欲出,不過由於10GbE網路設備的價格至今仍是居高不下,一張10GbE網卡即要價數萬元不等,更不用說是內建多個網路埠的交換器設備,因此使得行之有年的GbE仍舊在大多數的企業機房,擔負著骨幹線路的重責大任。 在虛擬化技術的推波助瀾下,企業可以花費較少的預算,便能提升網路的效能。例如,微軟的Hyper-V平臺,虛擬機器與虛擬交換器之間的連線速度,可達10Gbps,換句話說,虛擬化之後,企業僅需購買數張10GbE實體網卡(Physical NIC,pNIC),加上一臺內建10GbE介面的交換器,就能將機房網路升級到全10GbE的環境,而建置費用僅為過去實體環境的數分之一。  依照功能不同,可區分為兩種主要角色 伺服器虛擬化之後,企業仍然可以保留原始的網路架構,不會因為大多數實體伺服器、網路設備整合到虛擬平臺運作,而產生需要重新規畫的問題。 依照功能上的不同,我們可以將虛擬平臺上的交換器,區分為兩種不同的角色,一種是用來連接外部實體網路的「External」,另外一種則是完全封閉,無法連接外界網路的「Private」。 設定External交換器的時候,必須將伺服器的實體網卡介面指派給External交換器做為上鏈(Uplink)線路使用。反之,設定Private交換器的時侯,由於不需要指派實體的網卡介面,因此自然形成一個封閉式的網路環境,適用於不需要連接外部網路的測試環境。 以企業的實際應用來說,兩種虛擬交換器大多是搭配使用,目的是為了在虛擬平臺的網路環境中,建立起階層式的網路架構。舉例來說,我們可以將上線運作中的虛擬機器放置在一臺Private虛擬交換器之上,做為底層的存取交換器(Access Switch)使用,此時,再透過一臺同時連接前端External虛擬交換器的虛擬機器的串接之下,使得虛擬機器能與外部網路進行連線。 該臺同時連接External、Private虛擬交換器的虛擬機器,可以是一臺防火牆(例如Check Point的VPN-1 VE、微軟的ISA),或者是Windows Server 2003叢集伺服器、IPS(例如Reflex System的Virtual Security Appliance)採用透通模式從事安全過濾的資安產品,若為防火牆,則後端的Private交換器就會變成DMZ區,除了透過NAT區隔外部網路之外,同時也會套用防火牆的連線規則從事管理,假使是叢集伺服器、IPS的話,則External、Private交換器之間僅會進行單純的橋接。 除了具備前述兩種的虛擬交換器機制之外,微軟的Hyper-V還額外提供了一種「Internal」虛擬交換器。 嚴格來說,它是Private虛擬交換器的其中一種,但是在功能上,位於Internal虛擬交換器之上的虛擬機器,可以和Hyper-V平臺的Host OS連線,而Private虛擬交換器,則不具備這項功能。
與實體交換器設備之間的功能異同 除了提供虛擬機器集線的用途之外,一般在實體交換器常用到的網路功能,例如VLAN、QoS,以及頻寬聚集(EtherChannel)等項目,在虛擬交換器上也同樣可以做到。 和實體交換器不同的是,內建於虛擬交換器的部份網路功能,仍然需要搭配實體的網路設備才能運作,例如企業經常使用到的VLAN。無論是何種虛擬化平臺,兩臺虛擬交換器之間,均無法建立VLAN的Trunk。 較為特別的是,虛擬交換器也同樣能夠執行封包收集的動作,相當方便。在實體網路的環境下,這項功能必須借助於具備Mirror封包鏡射功能的交換器,或者是L1層級的集線器(Hub),才能進行。 在ESX的虛擬交換器上頭,我們可以啟用Promiscuous Mode(雜亂模式)的功能,之後就可以使用Wireshark(Ethereal)一類的封包側錄工具,監聽位於同一臺虛擬交換器、Port Group,或者是同一個VLAN上的所有網路流量,對於有需要在虛擬平臺從事網路除錯,或者找尋中毒主機的企業來說,就十分有用。 虛擬機器的動態轉移,是企業導入虛擬化平臺之後,經常使用到的一項功能,以ESX的VMotion為例,啟用這項功能之前,必須先在虛擬交換器上完成相關的一些設定,值得注意的是,連接兩臺ESX伺服器間的網路,建議採用GbE以上的等級,若為速度較低的10/100Mbps網路,那麼在移轉的過程中將有可能造成虛擬機器短暫斷線的情況發生。
預計在2009年推出的ESX 4.0,具備一項名為分散式虛擬交換器(Distributed Virtual Switch,DVS)的新技術。藉由DVS,我們可以將分散在同一個區域網路下的多臺虛擬交換器集結起來,虛擬成一臺大型的機箱式交換器(Chassis Switch)集中管理,在不需要個別連接每一臺虛擬交換器的情況下,簡化管理作業。 除此之外,DVS另一項值得一提的應用在於,它同時提供了交換器政策的動態轉移。就現有版本的ESX來說,虛擬機器完成VMotion動態移轉之後,就必須在該臺虛擬機器所在的虛擬交換器上重新設定,但DVS的特色是隨著虛擬機器的搬移而同步移轉交換器設定,不需要額外的手動設定。 DVS的相關技術目前已經提供給網路設備廠商用來開發新產品,例如Cisco新推出的Nexus 1000V交換器,就是一款支援DVS且能部署在未來ESX平臺上的虛擬交換器產品。 目前各家廠牌的企業端虛擬化產品,除了一般常見的付費版本之外,也有提供功能簡化後的免費版本,讓人自由下載。相較於市售版本,免費版本的套件在網路功能方面皆有所精簡。舉例來說,像是虛擬機器的動態移轉能力(如VMware ESX的VMotion),以及實體伺服器之間的高可用性(High Availability,HA)備援機制,就只有付費版本才有提供;此外,像是Citrix XenServer的免費版本XenExpress還更進一步地,去除在虛擬交換器上設定VLAN的能力。 就功能來說,這些免費版本僅適合測試,而非應用於架構複雜的實際上線環境。 |
全站熱搜
留言列表
無人機概念股 (1)
